Lỗ hổng trên trình quản lý thiết bị của HP khiến hệ thống Windows bị hack
An toàn thông tin - Ngày đăng : 16:02, 06/10/2020
Theo đó, 3 lỗ hổng có mức nghiêm trọng và nghiêm trọng cao là CVE-2020-6925, CVE-2020-6926, CVE-2020-6927. Các lỗ hổng này gây ảnh hưởng tới trình quản lý thiết bị của HP (HP Device Manager). Kẻ tấn công có thể khai thác để chiếm các hệ thống sử dụng windows.
HP Device Manager là trình quản lý thiết bị cho phép các quản trị viên quản lý từ xa những máy khách có cấu hình tối thiểu của HP.
Các lỗ hổng bảo mật đã được Nick Bloor, nhà nghiên cứu của Infosec báo cáo tới HP. Kẻ tấn công có thể liên kết 3 lỗ hổng để chiếm các quyền hệ thống trên những thiết bị mục tiêu và có thể chiếm luôn cả thiết bị.
HP cho biết: "Những lỗ hổng tiềm ẩn đã được xác định trong các phiên bản nhất định của HP Device Manager. Những lỗ hổng này có thể khiến các tài khoản được quản lý nội bộ trong Device Manager dễ bị tấn công từ điển (dictionary attacks)do thực thi mật mã yếu(CVE-2020-6925) và cho phép tin tặc từ xa truy nhập trái phép vào các tài nguyên (CVE-2020-6926) và/hoặc chiếm các quyền hệ thống (CVE-2020-6927)".
Các lỗ hổng có thể cho phép những kẻ tấn công thực hiện nhiều hoạt động độc hại như các cuộc tấn công từ điển, truy nhập trái phép từ xa tới các tài nguyên và nâng cao đặc quyền.
Lỗ hổng đầu tiên là CVE-2020-6925 có liên quan tới việc sử dụng triển khai mật mã yếu và lộ lọt những tài khoản quản lý Device Manager nội bộ cho những cuộc tấn công từ điển. Sự cố không ảnh hưởng tới những khách hàng sử dụng tài khoản đã được xác thực.
Lỗ hổng thứ 2 là CVE-2020-6926, một lỗ hổng kích hoạt phương thức từ xa, có thể bị những kẻ tấn công khai thác từ xa để truy nhập trái phép tới các tài nguyên.
Lỗ hổng cuối cùng là CVE-2020-6927, có thể cho phép những kẻ tấn công từ xa chiếm quyền hệ thống bằng việc khai thác tài khoản người dùng cơ sở dữ liệu (CSDL) cửa hậu (backdoor) sử dụng khoảng trống làm mật khẩu trong CSDL PostgreSQL. Lỗ hổng bảo mật này không ảnh hưởng tới các khách hàng của HP sử dụng CSDL bên ngoài (Microsoft SQL Server) và chưa cài đặt dịch vụ Postgres đã được tích hợp.
Rất tiếc, HP vẫn chưa phát hành các bản cập nhật bảo mật để xử lý lỗ hổng CVE-2020-6925 và CVE-2020-6926 trong khi CVE-2020-6927 đã được xử lý khi phát hành Device Manager 5.0.4.
Tuy nhiên, công ty cung cấp cho khách hàng các bước để giảm thiểu rủi ro bảo mật từ những vấn đề trên, bao gồm: Giới hạn quyền truy nhập tới các cổng Device Manager 1099 và 40002 chỉ cho những địa chỉ IP hoặc máy chủ nội bộ đáng tin cậy hoặc máy chủ nội bộ; Xóa tài khoản dm_postgres khỏi CSDL Postgres hoặc cập nhật mật khẩu tài khoản dm_postgres trong trình quản lý cấu hình Device Manager hoặc trong cấu hình tường lửa của Windows, hãy tạo một quy tắc phản hồi để định cấu hình cổng nghe của PostgreSQL 40006 chỉ cho truy nhập máy chủ nội bộ.